我在Ubuntu 10.04 64位上运行Squid 2.7。 我遇到了Squid耗尽文件描述符的问题,在/var/log/squid/cache.log中显示以下错误: 警告! 您的caching正在耗尽文件描述符 我检查了: squidclient mgr:info | grep'文件描述' 它表明我只有1024个文件描述符可用。 我更改了/etc/security/limits.conf,最后添加了这个: * soft nofile 32768 * hard nofile 32768 proxy soft nofile 32768 proxy hard nofile 32768 添加到/etc/squid/squid.conf: max_filedescriptors 32768 还改了/ etc / default / squid: SQUID_MAXFD=32768 没有什么工作。 最后我编辑了/etc/init.d/squid来添加“ulimit -n 32768”: #!/bin/sh -e # upstart-job # # Symlink target for initscripts that […]
我在新的CentOS 5.5上安装了鱿鱼,并为iptables添加了这个规则: -A RH-Firewall-1-INPUT -m state –state NEW,ESTABLISHED,RELATED -m tcp -p tcp –dport 8080 -j ACCEPT 使用这个HOWOT: http ://www.cyberciti.biz/tips/howto-rhel-centos-fedora-squid-installation-configuration.html 但客户端无法通过代理访问互联网。 我尝试使用telnet连接到端口8080,它是不成功的。所以我试图禁用代理服务器上的iptables,一切工作正常。 所以iptables拒绝连接到鱿鱼端口。 我该如何解决这个问题?这个规则有什么问题吗? 编辑 iptables -L -n -v输出iptables -L -n -v : Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 21 2802 RH-Firewall-1-INPUT all — * […]
我已经使用–enable-sslconfiguration将squid安装为非透明代理/caching服务器。 它是父代理服务器proxy1.ut.ac.ir 。 对于HTTP URL,一切正常,但任何HTTPS URL都会被404 Server not found的404 Server not found (例如Gmail或https://www.google.com )所响应。 这是打开www.gmail.com的access.log条目: 1279493581.278 544 127.0.0.1 TCP_MISS/302 1136 GET http://mail.google.com/mail/ – DEFAULT_PARENT/proxy1.iut.ac.ir text/html 1279493581.283 0 127.0.0.1 TCP_MISS/404 0 CONNECT www.google.com:443 – DIRECT/- – terminal鱿鱼说: 2010/07/18 18:52:27| ipcacheParse: No Address records in response to 'www.google.com' 这里是squid.conf : http_port 3128 http_access allow all cache_peer proxy1.ut.ac.ir […]
我设置了一个Squid转发代理,我想知道是否可以configurationSquid的方式,从networking浏览器到Squid的连接是https,无论从squid到目标网站的连接是http还是https。 换句话说,即使我只是通过该代理浏览正常的http网站,我希望从我的web浏览器到我的转发代理的连接被encryption。 可以这样做吗?
我试图为我的内部服务器之一设置一个SSL代理,使用Squid访问https://www.googleapis.com ,以使该服务器上的Rails应用程序能够通过代理访问googleapis.com 。 我是新手,所以我的方法是使用Squid设置SSL透明代理。 我在Ubuntu 12.04上构buildSquid 3.3 ,生成一对ssl key和crt,并configuration这样的squid: http_port 443 transparent cert=/home/larry/ssl/server.csr key=/home/larry/ssl/server.key 几乎所有其他configuration都是默认的。 持有key / crt的dir的授权是drwxrwxr-x 2 proxy proxy 4096 Oct 17 15:45 ssl 回到我的开发笔记本电脑上,我把<proxy-server-ip> www.googleapis.com放在我的/etc/hosts以便让电话进入我的代理服务器。 但是当我在我的rails应用程序中尝试它时,我得到: SSL_connect returned=1 errno=0 state=SSLv2/v3 read server hello A: unknown protocol 我也尝试用openssl在cli: openssl s_client -state -nbio -connect www.googleapis.com:443 2>&1 | grep "^SSL" SSL_connect:before/connect initialization SSL_connect:SSLv2/v3 write client […]
我正在尝试使用AclRandom for Squid 3.2,我想我对这个方法有点困惑。 这是我的configuration: http_port 3128 auth_param basic program /usr/local/squid32/libexec/basic_ncsa_auth /usr/local/squid32/etc/passwords auth_param basic children 5 auth_param basic realm proxy auth_param basic credentialsttl 2 hours auth_param basic casesensitive off acl my_auth proxy_auth REQUIRED http_access allow my_auth max_filedesc 32768 acl randomIP random 1/3 tcp_outgoing_address x.154.198.x randomIP tcp_outgoing_address x.154.198.x randomIP tcp_outgoing_address x.154.198.x randomIP tcp_outgoing_address x.154.198.x forwarded_for delete […]
我在Samba 3.5.4上运行Linux CentOS 5.4上的Squid代理(最新版本,3.1.4),以便为域用户提供authentication的Web访问; 一切工作正常,甚至Windows 7客户端都完全支持。 对于域用户来说,身份validation是透明的,而对于非域用户则是明确要求的,并且如果用户可以提供有效的域凭证,则它是有效的。 一切都很好,很好。 然后,Outlook Anywhere进入,痛苦和痛苦随之而来。 当Outlook(不论是2007年还是2010年,无所谓)在Windows XP客户端上运行时,它通过Squid代理优雅地连接到远程Exchange服务器。 当它在Windows 7上运行时,它不会。 如果authentication需求从代理中解除,那么所有的工作都在Windows 7上运行,所以这个问题显然与使用Squid的NTLMauthentication有关。 深入挖掘(WireShark),我发现Outlook Anywhere在Windows 7上运行时使用HTTP 1.1,而在Windows XP上使用HTTP 1.0。 而且,即使在最新的版本中,Squid看起来仍然存在一些严重的问题, 尤其是在SSL和代理身份validation混淆的情况下。 在等待Squid完全正式支持HTTP 1.1(看起来这可能需要相当长的时间)的同时,我正在寻找以下解决scheme之一: 如果可能的话,让鱿鱼正确处理。 识别Outlook无处不在的连接,并让鱿鱼不需要validation他们。 但是这并不容易:在Windows XP和Windows 7上运行时,Outlook的行为也会有所不同,而在Windows XP上,Outlook发送一个非常好的用户代理string“MSRPC”,而在Windows 7上它不会发送任何(为什么? 为什么 ?!?)。 即使在Windows 7上运行,强制Outlook Anywhere也使用HTTP 1.0。不,这不像在Internet Explorer中取消select“使用HTTP 1.1”那么简单,看起来像Outlook忽略了该设置,并自行select使用哪种协议。 任何其他可行的解决scheme,不涉及到白名单特定的目标Exchange服务器,这是我试图避免的最后一个解决scheme。
我试图下载包的来源,但是当我运行 root@proxy:~# apt-get source squid3 Reading package lists… Done Building dependency tree Reading state information… Done E: Can not find version '3.3.8-1.1' of package 'squid3' E: Unable to find a source package for squid3 找不到。 但是,当我运行apt-cache search squid3它发现它。 root@proxy:~# apt-cache search squid3 squid-cgi – Full featured Web Proxy cache (HTTP proxy) – control CGI squid3 […]
对于PCI合规性,我的应用程序被迫使用反向代理服务器和后端应用程序服务器之间的安全/encryption连接,而进入反向代理的连接在端口80上,即反向代理需要充当http-to -https转换器。 一个简单的图表: IIS7 <—端口443 — nginx <—-端口80 —- Internet 我正在评估使用nginx鱿鱼为这,这是我在我的nginx.conf到目前为止: worker_processes 1; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; sendfile on; keepalive_timeout 65; upstream backend { server mybackendserver:443; } server { server_name www.mysite.com listen 80; ssl on; ssl_certificate /etc/nginx/server.crt; ssl_certificate_key /etc/nginx/server.key; ssl_verify_client off; location = / { proxy_pass https://backend; proxy_set_header […]
这是关于我的问题的一些背景: 我有一个在Heroku上运行的Web服务,使用dynamicIP地址。 Heroku上的静态IP不是一个选项。 我需要连接到防火墙后面的外部Web服务。 操作外部Web服务的人员只能将其防火墙打开到特定的静态IP。 我尝试的解决scheme是在具有静态IP的单独服务器上使用Squid将来自Heroku的请求转发到外部服务。 这样,外部服务总是看到代理服务器的静态IP,而不是Heroku服务的dynamicIP。 由于我的代理服务器不能依靠IP地址进行身份validation(这是开始的问题!),它必须依靠用户名和密码。 此外,用户名和密码不能以明文forms传输,因为如果攻击者拦截了明文,他们可以连接到我的代理假装是我,使用我的代理的静态IP做出站请求,从而逃避外部Web服务的防火墙。 因此,Squid代理只能通过HTTPS而不是HTTP接受连接。 (与外部Web服务的连接可能是HTTP或HTTPS。) 我在CentOS 6.5.x上运行Squid 3.1.10,这里是我的squid.conf 。 仅出于故障排除的目的,我暂时启用了HTTP和HTTPS代理,但我只想使用HTTPS。 # # Recommended minimum configuration: # acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from […]